Kubernetes集羣二進制部署（一）——Etcd數據庫羣集功能部署、flannel網絡組建

節點環境規劃

Master節點可以使用CPU:2+內存 :2+硬盤:20G

Node節點需要跑業務，可以使用CPU:4+內存:4+硬盤:20G

服務器	IP	安裝軟件
Master	192.168.11.11	kube-apiserver、kube-controller-manager、kube-scheduler、etcd
Node01	192.168.11.16	kubelet、kube-proxy、docker 、flannel 、etcd
Node02	192.168.11.17	kubelet、kube-proxy、docker 、flannel 、etcd

軟件包

百度網盤鏈接：https://pan.baidu.com/s/1o8kgiC_9b2hO8FRNaDGC3Q
提取碼：qz5v

一、部署Etcd

1、製作證書

① 創建工作目錄

[root@master ~]# mkdir k8s
[root@master k8s]# cd k8s

② 安裝製作證書的工具cfssl

編寫cfssl.sh腳本，從官網下載製作證書的工具cfssl，直接放在/usr/local/bin目錄下，方便系統識別，並加執行權限

[root@localhost k8s]# vim cfssl.sh
curl -L https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -o /usr/local/bin/cfssl
curl -L https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 -o /usr/local/bin/cfssljson
curl -L https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 -o /usr/local/bin/cfssl-certinfo
chmod +x /usr/local/bin/cfssl /usr/local/bin/cfssljson /usr/local/bin/cfssl-certinfo

[root@localhost k8s]# bash cfssl.sh    #執行腳本等待安裝下載軟件
[root@localhost k8s]# ls /usr/local/bin/     #可以看到三個製作證書的工具
cfssl  cfssl-certinfo  cfssljson

#cfssl：生成證書工具
#cfssl-certinfo：查看證書信息
#cfssljson：通過傳入json文件生成證書

③ 編輯etcd證書創建的腳本

Etcd之間的通訊都是需要安全認證的，安全認證又需要證書認證的

#創建證書目錄

[root@master k8s]# mkdir etcd-cert
[root@master k8s]# cd etcd-cert

#編輯etcd證書創建的腳本

[root@master etcd-cert]# vim etcd-cert.sh 
#創建生成ca證書的配置文件
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "www": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF
#創建ca證書的簽名證書
cat > ca-csr.json <<EOF
{
    "CN": "etcd CA",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF
#cfssl、cfssljson：證書的創建工具。用ca簽名證書生成ca證書，得到ca-key.pem ca.pem
cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

#-----------------------
#指定etcd三個節點之間的通信驗證—需要服務器簽名證書 server-csr.json
cat > server-csr.json <<EOF
{
    "CN": "etcd",
    "hosts": [
    "10.206.240.188",
    "10.206.240.189",
    "10.206.240.111"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF
#用ca-key.pem、ca.pem、服務器簽名證書 生成ETCD證書 ----server-key.pem、server.pem
cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

④ 生成ca證書的配置文件，定義ca證書

[root@master etcd-cert]# cat > ca-config.json <<EOF
> {
>   "signing": {
>     "default": {
>       "expiry": "87600h"
>     },
>     "profiles": {
>       "www": {
>          "expiry": "87600h",
>          "usages": [
>             "signing",
>             "key encipherment",
>             "server auth",
>             "client auth"
>         ]
>       }
>     }
>   }
> }
> EOF

⑤ 創建ca證書的簽名證書

[root@master etcd-cert]# cat > ca-csr.json <<EOF
> {
>     "CN": "etcd CA",
>     "key": {
>         "algo": "rsa",
>         "size": 2048
>     },
>     "names": [
>         {
>             "C": "CN",
>             "L": "Beijing",
>             "ST": "Beijing"
>         }
>     ]
> }
> EOF

⑥ 生成證書（生成ca-key.pem密鑰證書 ca.pem證書）

#cfssl、cfssljson：證書的創建工具。用ca簽名證書生成ca證書，得到ca-key.pem ca.pem

[root@master etcd-cert]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

⑦ 指定etcd三個節點之間的通信驗證（需要服務器簽名證書 server-csr.json）

#用ca-key.pem、ca.pem、服務器簽名證書生成ETCD證書：server-key.pem、server.pem

cat > server-csr.json <<EOF
{
    "CN": "etcd",
    "hosts": [
    "192.168.11.11",
    "192.168.11.16",
    "192.168.11.17"
    ],
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing"
        }
    ]
}
EOF

#用ca-key.pem、ca.pem、服務器簽名證書生成ETCD證書 ----server-key.pem、server.pem

[root@master etcd-cert]# cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=www server-csr.json | cfssljson -bare server

2、搭建etcd集羣

① master節點部署etcd

上傳軟件包至k8s目錄中

#解壓etcd軟件包至當前目錄，再創建etcd集羣的工作目錄

[root@master k8s]# tar zxvf etcd-v3.3.10-linux-amd64.tar.gz

#創建etcd工作目錄（創建三個目錄，cfg配置文件目錄，bin命令文件目錄，ssl證書文件目錄）

[root@master k8s]# mkdir -p /opt/etcd/{cfg,bin,ssl}
[root@master k8s]# ls /opt/etcd/
bin  cfg  ssl

#把etcd、etcdctl 執行文件放在/opt/etcd/bin/命令文件目錄中

[root@master k8s]# mv etcd-v3.3.10-linux-amd64/etcd etcd-v3.3.10-linux-amd64/etcdctl /opt/etcd/bin/
[root@master k8s]# ls /opt/etcd/bin/
etcd etcdctl

#證書拷貝到/opt/etcd/ssl/證書文件目錄中

[root@master k8s]# [root@master k8s]# cp etcd-cert/*.pem /opt/etcd/ssl/

#執行 etcd.sh 腳本，產生etcd集羣的配置腳本和服務啓動腳本，進入卡住狀態等待其他節點加入（這個狀態會維持5分鐘左右，超過5分鐘會自動結束）

注意節點地址

[root@master k8s]# bash etcd.sh etcd01 192.168.11.11 etcd02=https://192.168.11.16:2380,etcd03=https://192.168.11.17:2380

2380是集羣內部通訊的端口

2379是對外提供的端口

#使用另外一個會話窗口，會發現etcd進程己經開啓

[root@master k8s]# ps -ef | grep etcd

#切換到/opt/etcd/cfg配置文件目錄中查看，生成了配置文件

② node節點加入ETCD集羣（實現內部通信）

#將master節點上的證書等文件拷貝至node節點

[root@master k8s]# scp -r /opt/etcd/ [email protected]:/opt/
[root@master k8s]# scp -r /opt/etcd/ [email protected]:/opt/

#將master節點上的啓動腳本拷貝至node節點

[root@master k8s]# scp /usr/lib/systemd/system/etcd.service [email protected]:/usr/lib/systemd/system/
[root@master k8s]# scp /usr/lib/systemd/system/etcd.service [email protected]:/usr/lib/systemd/system/

#在node01 節點上修改配置文件

[root@node01 ~]# vim /opt/etcd/cfg/etcd

#在node02 節點上修改配置文件

[root@node02 ~]# vim /opt/etcd/cfg/etcd

#在master節點執行 etcd.sh 腳本，等待node節點加入集羣

[root@master k8s]# bash etcd.sh etcd01 192.168.11.11 etcd02=https://192.168.11.16:2380,etcd03=https://192.168.11.17:2380

#同時快速啓動 node01、node02節點

[root@node1 ~]# systemctl start etcd
[root@node1 ~]# systemctl status etcd

[root@node2 ~]# systemctl start etcd
[root@node2 ~]# systemctl status etcd

③ 檢查羣集狀態

#在master上查看羣集狀態

注意：要在包含ca.pem證書文件的目錄（/opt/etcd/ssl/）下執行該條命令

[root@master ~]#  cd /opt/etcd/ssl/
[root@master ssl]#  /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.11.11:2379,https://192.168.11.16:2379,https://192.168.11.17:2379" cluster-health

此時，羣集之間就可以通過安全性的通訊方式進行數據交換了

④ 問題

node節點加入集羣時失敗，檢查主節點防火牆規則

檢查羣集狀態時對方不可達，檢查對方防火牆規則

解決方法：配置好防火牆規則或直接清空

iptables -F    #清空防火牆規則
setenforce 0   #關閉核心防護

二、Docker引擎部署

所有node節點部署docker引擎

詳見：簡單部署及基礎操作

三、flannel網絡配置

1、寫入分配的子網段到etcd，供flanneld使用

#注意：需要使用ca證書，所以必須在證書存放的目錄下執行此命令。

[root@master ssl]#  /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.11.11:2379,https://192.168.11.16:2379,https://192.168.11.17:2379"  set /coreos.com/network/config '{ "Network": "172.17.0.0/16", "Backend": {"Type": "vxlan"}}'

#查看寫入的信息

[root@master ssl]# /opt/etcd/bin/etcdctl --ca-file=ca.pem --cert-file=server.pem --key-file=server-key.pem --endpoints="https://192.168.11.11:2379,https://192.168.11.6:2379,https://192.168.11.17:2379" get /coreos.com/network/config

2、部署與配置flannel

#將flannel-v0.10.0-linux-amd64.tar.gz包上傳至所有node節點並進行解壓

（flannel只需要安裝在運行pod資源的節點上）

[root@node01 ~]# tar zxvf flannel-v0.10.0-linux-amd64.tar.gz

#在兩個node節點創建k8s的工作目錄

[root@node01 ~]# mkdir -p /opt/kubernetes/{cfg,bin,ssl}
[root@node01 ~]# mv mk-docker-opts.sh flanneld /opt/kubernetes/bin/		#方便執行文件
[root@node01 ~]# ls /opt/kubernetes/bin/

#編寫flannel.sh啓動腳本（兩個node節點均需要）

[root@node01 ~]# vim flannel.sh
#!/bin/bash

ETCD_ENDPOINTS=${1:-"http://127.0.0.1:2379"}
#創建配置文件
cat <<EOF >/opt/kubernetes/cfg/flanneld

FLANNEL_OPTIONS="--etcd-endpoints=${ETCD_ENDPOINTS} \
-etcd-cafile=/opt/etcd/ssl/ca.pem \
-etcd-certfile=/opt/etcd/ssl/server.pem \
-etcd-keyfile=/opt/etcd/ssl/server-key.pem"

EOF
#創建啓動腳本
cat <<EOF >/usr/lib/systemd/system/flanneld.service
[Unit]
Description=Flanneld overlay address etcd agent
After=network-online.target network.target
Before=docker.service

[Service]
[Unit]
Description=Flanneld overlay address etcd agent
After=network-online.target network.target
Before=docker.service

[Service]
Type=notify
EnvironmentFile=/opt/kubernetes/cfg/flanneld
ExecStart=/opt/kubernetes/bin/flanneld --ip-masq \$FLANNEL_OPTIONS
ExecStartPost=/opt/kubernetes/bin/mk-docker-opts.sh -k DOCKER_NETWORK_OPTIONS -d /run/flannel/subnet.env
Restart=on-failure

[Install]
WantedBy=multi-user.target

EOF

systemctl daemon-reload
systemctl enable flanneld
systemctl restart flanneld

#開啓flannel網絡功能（兩個node節點均需要開啓）

[root@node01 ~]# bash flannel.sh https://192.168.11.11:2379,https://192.168.11.16:2379,https://192.168.11.17:2379
[root@node01 ~]# systemctl status flanneld

3、配置Docker連接flannel網絡

#修改docker的配置文件（兩個node節點均操作）

[root@node01 ~]# vim /usr/lib/systemd/system/docker.service 
EnvironmentFile=/run/flannel/subnet.env
ExecStart=/usr/bin/dockerd $DOCKER_NETWORK_OPTIONS -H fd:// --containerd=/run/containerd/containerd.sock

#查看 flannel網絡分配的子網段

[root@node01 ~]# cat /run/flannel/subnet.env

可以看到node1節點分配的是172.17.80.0子網段，node2節點分配的是172.17.13.0子網段

#重啓docker服務（兩個node節點均需要操作）

[root@node01 ~]# systemctl daemon-reload 
[root@node01 ~]# systemctl restart docker

4、驗證容器間flannel網絡互通

測試ping同對方docker0網卡證明flannel起到路由作用

#兩個node節點分別創建容器（兩個節點操作）

[root@node01 ~]# docker run -it centos:7 /bin/bash

#安裝工具（兩個節點操作）

[root@556a7f1fa694 /]# yum install -y net-tools

#查看IP地址並ping測網絡是否互通

可以ping通，這時flannel組件完成，兩個節點上的容器可正常通訊